Investigadores de ciberseguridad han descubierto una extensión maliciosa de Chrome que se hace pasar por una billetera Ethereum legítima pero alberga una funcionalidad para filtrar las frases iniciales de los usuarios.
El nombre de la extensión es «Safery: Ethereum Wallet», y el actor de amenazas la describe como una «billetera segura para administrar la criptomoneda Ethereum con configuraciones flexibles». Se subió a Chrome Web Store el 29 de septiembre de 2025 y se actualizó el 12 de noviembre. Todavía está disponible para descargar al momento de escribir este artículo.
«Comercializado como una billetera Ethereum (ETH) simple y segura, contiene una puerta trasera que filtra frases iniciales codificándolas en direcciones Sui y transmitiendo microtransacciones desde una billetera Sui controlada por un actor de amenazas», dijo el investigador de seguridad de Socket, Kirill Boychenko.
Específicamente, el malware presente en el complemento del navegador está diseñado para robar frases mnemotécnicas de billetera codificándolas como direcciones de billetera Sui falsas y luego usando microtransacciones para enviar 0.000001 SUI a esas billeteras desde una billetera codificada controlada por un actor de amenazas.
El objetivo final del malware es introducir de contrabando la frase inicial dentro de transacciones blockchain de apariencia normal sin la necesidad de configurar un servidor de comando y control (C2) para recibir la información. Una vez que se completan las transacciones, el actor de la amenaza puede decodificar las direcciones del destinatario para reconstruir la frase inicial original y, en última instancia, extraer activos de ella.
«Esta extensión roba frases iniciales de billetera codificándolas como direcciones Sui falsas y enviándoles microtransacciones desde una billetera controlada por el atacante, lo que le permite monitorear la cadena de bloques, decodificar las direcciones en frases iniciales y drenar los fondos de las víctimas», señala Koi Security en un análisis.
Para contrarrestar el riesgo que representa la amenaza, se recomienda a los usuarios que utilicen extensiones de billetera confiables. Se recomienda a los defensores escanear extensiones en busca de codificadores mnemotécnicos, generadores de direcciones sintéticas y frases iniciales codificadas, así como bloquear aquellas que escriben en la cadena durante la importación o creación de billetera.
«Esta técnica permite a los actores de amenazas cambiar cadenas y puntos finales RPC con poco esfuerzo, por lo que las detecciones que dependen de dominios, URL o ID de extensión específicas no la pasarán por alto», afirmó Boychenko. «Trate las llamadas RPC inesperadas de blockchain desde el navegador como una señal alta, especialmente cuando el producto afirma ser de cadena única».